Nos derniers articles

Les recommandations d’Insurance Europe, publiées en amont du paquet « Omnibus numérique » de la Commission européenne, proposent des règles numériques européennes plus claires et cohérentes. L’organisation considère le secteur de l’assurance comme un acteur central de la transition numérique de l’Europe, soulignant ses investissements dans la cyber-résilience, l’utilisation responsable des données, ainsi que dans les outils d’intelligence artificielle permettant d’accélérer les indemnisations, d’améliorer la prévention, de renforcer la sécurité des données et d’élargir l’accès des consommateurs.

Le cadre réglementaire existant — comprenant notamment le règlement sur l’IA (AI Act), le RGPD, le règlement DORA et l’Acte sur la cyber-résilience (CRA) — est décrit comme complexe, en raison d’exigences qui se chevauchent. Cette situation entrave la mise en œuvre pratique des règles et détourne des ressources qui pourraient être consacrées à l’amélioration des services.

Les recommandations appellent à :
• des clarifications sur le champ d’application de l’IA afin d’éviter les chevauchements avec la législation financière ;
• une réduction des obligations de reporting répétitives dans le cadre de DORA, en s’appuyant sur les certifications existantes ;
• une harmonisation des règles de cybersécurité et d’informatique en nuage entre DORA, le CRA et les cadres nationaux et des orientations plus claires concernant le RGPD, l’AI Act et le Data Act pour l’utilisation des données dans la formation des IA et leur anonymisation.

Ces ajustements permettraient de réorienter les ressources vers une meilleure gestion des sinistres, une protection renforcée contre la cybercriminalité, une prévention accrue et des produits plus accessibles pour les consommateurs.

Insurance Europe's recommendations ahead of the EU Commission’s Digital Omnibus package propose clearer and more consistent EU digital rules. The organization views the insurance sector as central to Europe's digital transition, citing its investments in cyber resilience, responsible data use, and AI tools for faster claims, improved prevention, safer data handling, and expanded consumer access.
The existing framework—including the AI Act, GDPR, DORA, and Cyber Resilience Act— is described as creating complexity through overlapping requirements, which hinders practical application and diverts resources from service enhancements.
The recommendations call for clarifications on AI scopes to avoid duplication with financial laws; reduced repetitive reporting under DORA with use of existing certifications; alignment of cybersecurity and cloud rules across DORA, CRA, and national frameworks; and clearer guidance on GDPR, AI Act, and Data Act for data use in AI training and anonymization.
These adjustments would redirect resources to better claims, cyber protection, prevention, and accessible products.

Le rapport du Financial Stability Board (FSB) met en lumière des risques systémiques liés à l’adoption de l’intelligence artificielle (IA) dans la finance, au-delà des récits d’efficacité. Il souligne que les institutions financières dépendent de plus en plus de technologies externes, notamment de quelques géants technologiques, pour les modèles d’IA et les infrastructures. Ce rapport identifie quatre risques majeurs : une dépendance croissante à des tiers, une concentration alarmante dans la chaîne d’approvisionnement, des difficultés de régulation dues à des définitions incohérentes et le risque de panurgisme numérique amplifiant les instabilités de marché. Les efforts de surveillance restent embryonnaires, soulignant un défi majeur pour la stabilité financière.

Cet article explore la tension entre transformation numérique et conformité réglementaire dans le secteur de l’assurance, où innovation technologique et maîtrise du risque doivent désormais coexister. S’appuyant sur une étude récente, il analyse l’impact du cloud, de l’IA et de l’IoT sur la résilience opérationnelle, révélant une corrélation forte entre digitalisation et incidents de sécurité. L’étude met en évidence des vulnérabilités critiques — notamment dans la chaîne d’approvisionnement logicielle et la sécurité IoT — et décrit la mutation du marché de la cyber-assurance. Enfin, elle propose des leviers stratégiques pour renforcer la résilience et assurer la stabilité financière numérique.

This study on the insurance sector’s digital transformation highlights a paradox: adopting technologies like cloud computing, AI, and IoT enhances efficiency but increases cybersecurity risks. A survey of 150 professionals and interviews with 15 executives show a strong correlation (r = .78, p < .01) between digital technology use and security incidents, with phishing (88%), cloud misconfigurations (45%), and IoT vulnerabilities (25%) prevalent. Traditional defenses score high (e.g., network perimeter: 4.1/5), but IoT and software supply chain security lag (2.4–2.7/5). Cyber insurance now uses dynamic risk assessments, with 90% of underwriters employing external security ratings and 75% applying surcharges for high-risk technologies.

En 2026, l’Autorité Bancaire Européenne (EBA) intensifie la mise en œuvre du règlement DORA face aux cybermenaces croissantes et à la dépendance aux fournisseurs tiers. Les priorités incluent la surveillance directe des fournisseurs tiers critiques (CTPPs) via un cadre conjoint avec l’ESMA et l’EIOPA, des inspections ciblées et des analyses thématiques. L’EBA renforcera l’analyse des incidents TIC et publiera un rapport annuel sur les cybermenaces. Les institutions financières devront améliorer leurs cadres de gestion des risques TIC et leur résilience interne, sous une supervision accrue, pour assurer conformité et robustesse dans un environnement numérique complexe.

The EBA, alongside ESMA and EIOPA, plans 𝗷𝗼𝗶𝗻𝘁 𝗼𝘃𝗲𝗿𝘀𝗶𝗴𝗵𝘁 𝗼𝗳 𝗖𝗿𝗶𝘁𝗶𝗰𝗮𝗹 𝗜𝗖𝗧 𝗧𝗵𝗶𝗿𝗱-𝗣𝗮𝗿𝘁𝘆 𝗣𝗿𝗼𝘃𝗶𝗱𝗲𝗿𝘀 (𝗖𝗧𝗣𝗣𝘀) from 2026, following their 2025 designation. Measures include direct engagement on governance, thematic contract reviews, and 𝗼𝗻𝘀𝗶𝘁𝗲 𝗶𝗻𝘀𝗽𝗲𝗰𝘁𝗶𝗼𝗻𝘀 𝗼𝗳 𝗵𝗶𝗴𝗵-𝗿𝗶𝘀𝗸 𝗮𝗿𝗲𝗮𝘀, with recommendations passed to financial entities. Supervisors will assess institutions’ 𝗜𝗖𝗧 𝘁𝗵𝗶𝗿𝗱-𝗽𝗮𝗿𝘁𝘆 𝗿𝗶𝘀𝗸 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁, 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗲, 𝗮𝗻𝗱 𝗰𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗽𝗿𝗲𝗽𝗮𝗿𝗲𝗱𝗻𝗲𝘀𝘀, 𝗶𝗻𝗰𝗹𝘂𝗱𝗶𝗻𝗴 𝗹𝗲𝗴𝗮𝗰𝘆 𝘀𝘆𝘀𝘁𝗲𝗺 𝗿𝗶𝘀𝗸𝘀. The EBA will analyze major ICT incidents, contribute to a pan-European coordination framework for systemic events, collect new datasets via EUCLID, and support supervisory convergence to ensure 𝗰𝗼𝗻𝘀𝗶𝘀𝘁𝗲𝗻𝘁 𝗗𝗢𝗥𝗔 𝗶𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗮𝗰𝗿𝗼𝘀𝘀 𝘁𝗵𝗲 𝗘𝗨.

This publication presents recommendations for integrating cybersecurity incident response into risk management, using the 𝗡𝗜𝗦𝗧 𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗙𝗿𝗮𝗺𝗲𝘄𝗼𝗿𝗸 (𝗖𝗦𝗙) 𝟮.𝟬 as a reference model. It defines a life-cycle based on the six CSF functions (𝗚𝗼𝘃𝗲𝗿𝗻, 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝘆, 𝗣𝗿𝗼𝘁𝗲𝗰𝘁, 𝗗𝗲𝘁𝗲𝗰𝘁, 𝗥𝗲𝘀𝗽𝗼𝗻𝗱, 𝗥𝗲𝗰𝗼𝘃𝗲𝗿), outlines roles and responsibilities, and provides a “Community Profile” mapping priorities, recommendations, and considerations for incident response. The document also emphasizes continuous improvement, customizing guidance to organizational context, and leveraging other NIST and external resources.

The study examines behavioral and informational factors influencing German SMEs' cyber insurance decisions, based on a survey of 1,248 executives. Findings indicate that perceived financial impact and anxiety about cyberattacks significantly increase purchase likelihood, while perceived probability of attack and prior experience do not. External cybersecurity expertise positively affects demand, whereas reliance on independent Internet research reduces it, attributed to information overload. Internal risk assessments show no significant effect. Firm size is a strong determinant, with micro and small enterprises less likely to purchase than large firms. The research highlights emotional and informational influences over rational risk estimates.

The white paper examines how the EU’s **NIS2 Directive** and **DORA Regulation** impose resilience, security, and compliance obligations on critical and financial-sector entities. It describes how NIS2 applies broadly to “essential” and “important” operators, while DORA targets financial firms, and compares their requirements for risk management, incident reporting, audits, third-party oversight, governance, testing, and information sharing. The document outlines potential penalties for noncompliance, the need for gap assessments and harmonization across jurisdictions, and emphasizes that entities both inside and outside the EU may be affected by these rules.